Το SharkBot malware φαίνεται πως επέστρεψε στο Play Store της Google, στοχεύοντας στην κλοπή τραπεζικών logins Android χρηστών, μέσω κακόβουλων εφαρμογών που έχουν δεκάδες χιλιάδες λήψεις.
Το κακόβουλο λογισμικό βρέθηκε σε δύο τουλάχιστον εφαρμογές Android, που δεν διέθεταν κακόβουλο κώδικα όταν υποβλήθηκαν στον αυτόματο έλεγχο της Google. Φαίνεται ότι το SharkBot προστίθεται σε μια ενημέρωση που πραγματοποιείται, αφού ο χρήστης εγκαταστήσει και εκκινήσει τα dropper apps.
Σύμφωνα με μια ανάρτηση ιστολογίου από την Fox IT, μέρος της NCC Group, οι δύο εφαρμογές, που μολύνουν Android συσκευές με το SharkBot malware, είναι οι “Mister Phone Cleaner” και “Kylhavy Mobile Security“, οι οποίες έχουν συνολικά 60.000 εγκαταστάσεις.
Δείτε επίσης: Cloud servers: Ο συνηθέστερος attack vector για κυβερνοεπιθέσεις
Ευτυχώς, οι δύο εφαρμογές έχουν αφαιρεθεί από το Google Play, αλλά οι χρήστες που τις έχουν εγκαταστήσει, εξακολουθούν να διατρέχουν κίνδυνο και θα πρέπει να τις αφαιρέσουν από τη συσκευή τους με μη αυτόματο τρόπο.
SharkBot: Μια νέα και αναβαθμισμένη έκδοση επέστρεψε στο Play Store
Αναλυτές κακόβουλου λογισμικού στην Cleafy, μια ιταλική εταιρεία διαχείρισης και πρόληψης απάτης στο διαδίκτυο, ανακάλυψαν το SharkBot malware τον Οκτώβριο του 2021. Πέντε μήνες μετά περίπου, τον Μάρτιο του 2022, η NCC Group βρήκε τις πρώτες εφαρμογές που το έφεραν στο Google Play.
Εκείνη την περίοδο, το κακόβουλο λογισμικό μπορούσε να εκτελεί overlay attacks, να κλέβει δεδομένα μέσω keylogging, να υποκλέπτει SMS ή να παρέχει στους επιτιθέμενους απομακρυσμένο έλεγχο της κεντρικής συσκευής, κάνοντας κατάχρηση των Υπηρεσιών Προσβασιμότητας.
Δύο μήνες μετά, το Μάιο του 2022, ερευνητές της ThreatFabric εντόπισαν το SharkBot 2 που συνοδεύεται από έναν αλγόριθμο δημιουργίας domain (DGA), ένα ενημερωμένο πρωτόκολλο επικοινωνίας και έναν πλήρως ανακατασκευασμένο κώδικα.
Δείτε επίσης: Interworks cloud κυβερνοεπίθεση: Αποκατάσταση σε υπηρεσίες DNS και Acronis
Τώρα ερευνητές της Fox IT ανακάλυψαν μια νέα έκδοση του SharkBot malware (2.25), η οποία προσθέτει τη δυνατότητα κλοπής cookies από τα στοιχεία σύνδεσης σε τραπεζικούς λογαριασμούς.
Επιπλέον, σύμφωνα με τους ερευνητές, τα νέα dropper apps δεν κάνουν κατάχρηση των Υπηρεσιών Προσβασιμότητας όπως έκαναν πριν.
“Το dropper θα κάνει ένα αίτημα στον C2 server για να λάβει απευθείας το APK file του Sharkbot. Δεν θα λάβει έναν σύνδεσμο λήψης μαζί με τα βήματα για την εγκατάσταση του κακόβουλου λογισμικού, χρησιμοποιώντας τις λειτουργίες “Automatic Transfer Systems” (ATS), κάτι που κανονικά έκανε“, λέει, επίσης, η Fox IT.
Μόλις εγκατασταθεί το dropper app έρχεται σε επαφή με τον command and control (C2) server ζητώντας το κακόβουλο SharkBot APK file. Στη συνέχεια, το dropper ειδοποιεί τον χρήστη ότι μια ενημέρωση είναι διαθέσιμη και του ζητά να εγκαταστήσει το APK και να εκχωρήσει όλα τα απαιτούμενα δικαιώματα.
Με αυτόν τον τρόπο, η νέα έκδοση του Sharkbot dropper εγκαθιστά τώρα το payload με μη αυτόματο τρόπο, γεγονός που καθιστά δυσκολότερη την εγκατάσταση, αφού εξαρτάται από την αλληλεπίδραση του χρήστη. Αλλά τώρα είναι πιο δύσκολο να εντοπιστεί πριν δημοσιευτεί στο Google Play Store, καθώς δεν χρειάζεται τα δικαιώματα προσβασιμότητας που είναι πάντα ύποπτα.
Για να καταστήσει την αυτοματοποιημένη ανίχνευση πιο δύσκολη, το SharkBot αποθηκεύει το hard-coded configuration του σε κρυπτογραφημένη μορφή χρησιμοποιώντας τον αλγόριθμο RC4.
Οι ερευνητές παρατήρησαν ότι η νέα έκδοση του SharkBot malware έχει κάποια extra στοιχεία, όπως τη δυνατότητα κλοπής στοιχείων που σχετίζονται με τη σύνδεση σε τραπεζικούς λογαριασμούς. Ωστόσο, προηγούμενα χαρακτηριστικά του malware είναι ακόμα διαθέσιμα, όπως το overlay, η δυνατότητα υποκλοπής SMS, το keylogging και ο απομακρυσμένος έλεγχος της συσκευής.
Δείτε επίσης: Instagram phishing: Οι χρήστες δελεάζονται με blue badges
Όταν το θύμα συνδέεται στους τραπεζικούς του λογαριασμούς, το SharkBot malware αποσπά το έγκυρο session cookie του χρησιμοποιώντας μια νέα εντολή (“logsCookie”) και το στέλνει στο C2.
Τα cookies είναι πολύτιμα για την ανάληψη λογαριασμών επειδή περιέχουν software και location parameters που βοηθούν στην παράκαμψη των ελέγχων δακτυλικών αποτυπωμάτων ή, σε ορισμένες περιπτώσεις, του ίδιου του authentication token του χρήστη.
Οι ερευνητές της Fox IT παρατήρησαν νέες καμπάνιες SharkBot στην Ευρώπη (Ισπανία, Αυστρία, Γερμανία, Πολωνία, Αυστρία) και στις ΗΠΑ. Σε αυτές τις καμπάνιες, το κακόβουλο λογισμικό χρησιμοποιεί τη δυνατότητα keylogging και κλέβει τις ευαίσθητες πληροφορίες απευθείας από την επίσημη εφαρμογή-στόχο.
Η Fox IT πιστεύει ότι οι καμπάνιες SharkBot θα συνεχίσουν και ότι οι χειριστές του malware θα συνεχίσουν να το εξελίσσουν, αν κρίνουμε από αυτή τη νέα έκδοση.
Περισσότερες λεπτομέρειες για τη νέα έκδοση του SharkBot malware που επέστρεψε στο Play Store, μπορείτε να βρείτε στην έκθεση της Fox IT.
Πηγή: www.bleepingcomputer.com
